Linux root用户密码输入错误锁定策略：使用旧密码失败

在Linux系统中，root用户密码输入错误锁定策略以及处理使用旧密码失败的情况可以通过以下几种常见方式来实现和解决：

密码输入错误锁定策略

不同的Linux发行版有不同的实现方式来处理密码输入错误锁定。

PAM（Pluggable Authentication Modules）模块

许多Linux系统使用PAM来管理认证。可以通过配置PAM的pam_tally2模块来实现密码错误计数和锁定功能。

1. 安装pam_tally2模块： 在基于Debian或Ubuntu的系统上：

   sudo apt-get install libpam-tally2

   在基于Red Hat或CentOS的系统上：

   sudo yum install pam_tally2

2. 配置pam_tally2： 编辑PAM配置文件，通常是/etc/pam.d/system-auth（在Red Hat系）或/etc/pam.d/common-auth（在Debian系）。添加或修改如下行：

   auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300

   上述配置表示：

• deny=3：允许3次密码错误尝试。

• unlock_time=300：锁定时间为300秒（5分钟），适用于普通用户。

• even_deny_root：对root用户也进行密码错误计数和锁定。

• root_unlock_time=300：root用户锁定时间也是300秒。

使用faillock工具（部分系统支持）

有些系统提供faillock工具来管理登录失败记录。

1. 查看当前失败记录：

   sudo faillock --user root

2. 手动解锁用户：

   sudo faillock --user root --reset

处理使用旧密码失败

如果用户尝试使用旧密码失败，可能是因为系统配置了密码历史限制。

检查密码历史设置

在/etc/login.defs文件中，可以找到与密码历史相关的设置。例如：

PASS_HISTORY     5

这表示系统会记住最近5次的密码，新密码不能与这5次中的任何一次相同。

修改密码历史设置

如果要减少密码历史限制或者取消它，可以编辑/etc/login.defs文件，将PASS_HISTORY的值修改为0（表示不限制）或其他合适的值。修改后，需要重新登录或者重启相关服务使设置生效。

请注意，修改这些设置时要谨慎，尤其是涉及到root用户的安全策略，确保系统安全性不受影响。